Czy podczas pracy zdalnej można korzystać z dokumentów papierowych zawierających dane osobowe?
Jeśli pracownik na co dzień w miejscu stałego wykonywania obowiązków służbowych operuje papierową dokumentacją zawierającą dane osobowe, to czy podczas pracy zdalnej również może z niej korzystać? Stanowisko w tej sprawie zajął Urząd Ochrony Danych Osobowych.
- Dorota Kraskowska
- /
- 4 maja 2020
Zgodnie z art. 3 specustawy w sprawie szczególnych rozwiązań związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych, pracodawca ma prawo zlecić podwładnym pracę zdalną. Może to zrobić w dowolnej formie, zarówno pisemnej, jak i ustnej lub telefonicznej. Pracodawca zlecając wykonywanie obowiązków służbowych w takiej formie musi zapewnić pracownikom niezbędny sprzęt — komputer, telefon. A co z innymi potrzebnymi do pracy materiałami, np. dokumentacją papierową zawierającą dane wrażliwe?
Kodeks pracy reguluje niektóre kwestie związane z ochroną danych osobowych w ramach telepracy, ale nie znajdziemy tam żadnych przepisów dotyczących wymogów ochrony danych osobowych podczas pracy zdalnej. Telepraca w przeciwieństwie do pracy zdalnej ma charakter stały. Pracodawca zleca pracownikowi przykładowo na 2 dni pracy w biurze i 3 dni — poza biurem. Ważne jest to, aby dni pracy poza siedzibą firmy były ustalone w stałych odstępach czasu. W przypadku pracy zdalnej nie ma tej stałości.
Brak uregulowań zasad pracy zdalnej w Kodeksie pracy to jedno, również w specustawie koronawirusowej pracodawcy nie znajdą szczegółowych wytycznych w sprawie pracy zdalnej. Dlatego w ostatnim czasie UODO zanotował większe zainteresowanie pracodawców szczegółowymi wytycznymi w tym zakresie.
Prezes UODO w reakcji na liczne pytania pracodawców podał szczegółowe zasady postępowania w pracy zdalnej z dokumentami zawierającymi dane osobowe. W wyjątkowych sytuacjach pracodawca może pozwolić, aby pracownik, który jest oddelegowany do wykonywania obowiązków służbowych poza miejsce stałego wykonywania pracy, mógł wykorzystywać dokumenty z tego typu danymi. W takiej sytuacji konieczne jest zastosowanie odpowiednich zabezpieczeń, bo ryzyko naruszenia bezpieczeństwa danych osobowych jest w tym przypadku większe.
Pracownik może korzystać z papierowej dokumentacji zawierającej dane osobowe wyłącznie za zgodą pracodawcy. Obszar przetwarzania takich danych musi być jasno określony przez przełożonego.
Praca zdalna a dokumenty papierowe z danymi osobowymi
Administratorem danych osobowych przetwarzanych przez pracowników podczas pracy zdalnej jest pracodawca. I to na nim spoczywa obowiązek zapewnienia przestrzegania zasad bezpieczeństwa danych, zarówno tych przetwarzanych za pośrednictwem urządzeń elektronicznych, jak i zawartych w dokumentacji papierowej.
Z kolei pracownik może przetwarzać dane osobowe wyłącznie w związku z wykonywaniem powierzonych mu obowiązków służbowych, z zachowaniem ustalonej przez pracodawcę polityki bezpieczeństwa i procedur w tym zakresie.
Prezes UODO zaleca, aby pracodawca powierzając wykorzystywanie dokumentacji papierowej podczas pracy zdalnej spełnił następujące warunki:
w pierwszej kolejności należy zadbać o ewidencjonowanie powierzonej dokumentacji zawierającej dane osobowe,
istotne jest zapewnienie ograniczonego przechowywania takich materiałów — papierowe dokumenty z danymi osobowymi mają być przechowywane przez pracownika wyłącznie na czas wykonywania określonego zadania czy projektu,
niezbędne jest również ograniczenie liczby dokumentów, które zdalny pracownik wynosi z siedziby administratora — powierzona dokumentacja ma być niezbędna do celu przetwarzania danych osobowych przez pracownika,
przenoszone dokumenty muszą być odpowiednio zabezpieczone, np. w zabezpieczonej teczce, zamykanej na kod walizce, w sposób niewidoczny dla osób trzecich,
dokumenty muszą być również odpowiednio zabezpieczone w miejscu wykonywania pracy zdalnej, np. w szafkach i biurkach zamykanych na klucz, w miejscach niedostępnych dla nieuprawnionych osób trzecich, np. członków rodziny pracownika,
obowiązkiem pracodawcy jest zapewnienie, aby pracownik wykorzystywał powierzoną dokumentację wyłącznie w tym celu, w jakim byłaby ona wykorzystywana w stałym miejscu pracy,
niezbędną czynnością leżącą po stronie pracodawcy jest ustalenie procedury niszczenia dokumentów, np. zakaz wyrzucania ich do domowego kosza, konieczność odpowiedniego zabezpieczenia w celu zniszczenia ich po zakończonym projekcie (np. rekrutacja) w niszczarce znajdującej się w biurze — jeśli pracownik nie ma w domu takiego sprzętu,
pracodawca ma obowiązek poinstruowania pracownika o konieczności zgłoszenia każdego incydentu naruszenia bezpieczeństwa danych osobowych. Pracodawca jako administrator danych musi w takiej sytuacji wywiązać się z obowiązku, o którym mowa w artykule 33 ust. 1 Rozporządzenia RODO (zgłoszenie naruszenia danych osobowych organowi nadzorczemu nie później niż w terminie 72 godzin po stwierdzeniu incydentu).
Prezes UODO zaznacza, że jeśli nie jest możliwe zastosowanie wyżej wymienionych rozwiązań, należy rozważyć pracę na kopiach dokumentów zawierających dane osobowe. I choć praca na kopiach minimalizuje ryzyko utraty ich dostępności oraz ryzyko naruszenia integralności danych, nie oznacza to, że w takiej sytuacji można zastosować mniejsze środki ostrożności — pracownik ma obowiązek chronić na równi dane osobowe zawarte w kopii i oryginalnym dokumencie.
Kiedy praca z dokumentacją papierową jest nieuzasadniona?
Pracownik nie powinien przenosić dokumentacji papierowej z biura do miejsca wykonywania pracy zdalnej w następujących przypadkach:
pracodawca wdrożył elektroniczny obieg dokumentów, więc pracownik ma bezpieczny dostęp do niezbędnych danych osobowych za pośrednictwem środków komunikacji elektronicznej,
pracodawca może udostępnić zdalnemu pracownikowi odpowiednio zaszyfrowane elektroniczne kopie dokumentów zawierających dane osobowe,
pracodawca może szybko i bezpiecznie wdrożyć elektroniczny obieg dokumentacji w firmie.
Pracodawca ma obowiązek każdorazowo ocenić niezbędność wykorzystania przez zdalnego pracownika papierowej dokumentacji zawierającej dane osobowe. W tym celu musi uwzględnić dostępne środki, charakter danych oraz cele, dla których te dane są przetwarzane. Warto rozważyć, czy w danym projekcie nie wystarczy udostępnienie dokumentów zanonimizowanych lub zabezpieczonych szyfrem kopii elektronicznych.
Źródło: https://uodo.gov.pl
Prezes UODO o ujawnieniu danych osób objętych kwarantanną Dorota Kraskowska
Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco
z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu
ponownie!
Jeżeli
podobał Ci się artykuł podziel się z innymi udostępniając go w mediach
społecznościowych.
Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia, o którym mowa w artykule?